开源实时日志分析ELK平台部署.docx

开源实时日志分析ELK平台部署.docx

《开源实时日志分析ELK平台部署.docx》由会员分享，可在线阅读，更多相关《开源实时日志分析ELK平台部署.docx（9页珍藏版）》请在冰豆网上搜索。

开源实时日志分析ELK平台部署

开源实时日志分析ELK平台部署

日志主要包括系统日志、应用程序日志和安全日志。

系统运维和开发人员可以通过日志了解服务器软硬件信息、检查配置过程中的错误及错误发生的原因。

经常分析日志可以了解服务器的负荷，性能安全性，从而及时采取措施纠正错误。

通常，日志被分散的储存不同的设备上。

如果你管理数十上百台服务器，你还在使用依次登录每台机器的传统方法查阅日志。

这样是不是感觉很繁琐和效率低下。

当务之急我们使用集中化的日志管理，例如：

开源的 syslog ，将所有服务器上的日志收集汇总。

集中化管理日志后，日志的统计和检索又成为一件比较麻烦的事情，一般我们使用 grep 、 awk 和 wc 等 Linux 命令能实现检索和统计，但是对于要求更高的查询、排序和统计等要求和庞大的机器数量依然使用这样的方法难免有点力不从心。

开源实时日志分析 ELK 平台能够完美的解决我们上述的问题， ELK 由 ElasticSearch 、 Logstash 和 Kiabana 三个开源工具组成。

官方网站：

l   Elasticsearch 是个开源分布式搜索引擎，它的特点有：

分布式，零配置，自动发现，索引自动分片，索引副本机制， restful 风格接口，多数据源，自动搜索负载等。

l   Logstash 是一个完全开源的工具，他可以对你的日志进行收集、分析，并将其存储供以后使用（如，搜索）。

l   kibana 也是一个开源和免费的工具，他 Kibana 可以为 Logstash 和 ElasticSearch提供的日志分析友好的 Web 界面，可以帮助您汇总、分析和搜索重要数据日志。

工作原理如下如所示：

在需要收集日志的所有服务上部署 logstash ，作为 logstashagent （ logstashshipper ）用于监控并过滤收集日志，将过滤后的内容发送到 logstashindexer ， logstashindexer 将日志收集在一起交给全文搜索服务 ElasticSearch ，可以用 ElasticSearch 进行自定义搜索通过 Kibana 来结合自定义搜索进行页面展示。

开源实时日志分析ELK平台部署流程：

（ 1 ）安装 Logstash 依赖包 JDK

Logstash 的运行依赖于 Java 运行环境， Logstash1.5 以上版本不低于 java7 推荐使用最新版本的 Java 。

由于我们只是运行 Java 程序，而不是开发，下载 JRE 即可。

首先，在 Oracle 官方下载新版 jre ，下载地址：

 /java/javase/downloads/jre8-downloads-2133155.html

可以看到提供了多种版本，下载时，选择适合自己机器运行环境的版本，我使用的是 RHEL6.5x86_64 的操作系统，所以，下载 linux-64 的版本。

如果使用 Linux 下载执行如下命令下载即可。

#wget-pub/java/jdk/8u45-b14/jdk-8u45-linux-

JDK 的安装方式比较简单，只需将下载回来的程序包解压到相应的目录即可。

#mkdir/usr/local/java

#tar-zxfjdk-8u45-linux--C/usr/local/java/

设置 JDK 的环境变量，如下：

#tail-3~/.bash_profileexportJAVA_HOME=/usr/local/java/PATH=$PATH:

$JAVA_HOME/binexportCLASSPATH=.:

$JAVA_HOME/lib/tools.jar:

$JAVA_HOME/lib/dt.jar:

$CLASSPATH

在 Shell 提示符中执行 java�version 命令，显示如下结果，说明安装成功：

#java-version

javaversion""

Java（TM）SERuntimeEnvironment（build

JavaHotSpot（TM）64-BitServerVM（build25.45-b02,mixedmode）

（ 2 ）安装 Logstash

下载并安装 Logstash ，安装 logstash 只需将它解压的对应目录即可，例如：

 /usr/local 下：

#/logstash/logstash-tar�zxflogstash--C/usr/local/

安装完成后运行如下命令：

#/usr/local/logstash--e'input{stdin{}}output{stdout{}}'

Logstashstartupcompleted

HelloWorld!

2015-07-15T03:

28:

56.938ZHelloWorld!

我们可以看到，我们输入什么内容logstash按照某种格式输出，其中-e参数参数允许Logstash直接通过命令行接受设置。

这点尤其快速的帮助我们反复的测试配置是否正确而不用写配置文件。

使用CTRL-C命令可以退出之前运行的Logstash。

使用-e参数在命令行中指定配置是很常用的方式，不过如果需要配置更多设置则需要很长的内容。

这种情况，我们首先创建一个简单的配置文件，并且指定logstash使用这个配置文件。

 例如：

在 logstash 安装目录下创建一个“基本配置”测试文件 logstash-test.conf， 文件内容如下：

#catlogstash-simple.confinput{stdin{}}

output{

stdout{codec=>rubydebug}

}

Logstash 使用 input 和 output 定义收集日志时的输入和输出的相关配置，本例中 input 定义了一个叫 "stdin" 的 input ， output 定义一个叫 "stdout" 的 output 。

无论我们输入什么字符， Logstash 都会按照某种格式来返回我们输入的字符，其中 output 被定义为 "stdout" 并使用了 codec 参数来指定 logstash 输出格式。

使用logstash的-f参数来读取配置文件，执行如下开始进行测试：

#echo"`date`helloWorld"

ThuJul1604:

06:

48CST2015helloWorld#/usr/local/logstash-agent-flogstash-simple.conf

Logstashstartupcompleted

TueJul1418:

07:

07EDT2015helloWorld#该行是执行echo“`date`helloWorld”后输出的结果，直接粘贴到该位置

{

"message"=>"TueJul1418:

07:

07EDT2015helloWorld",

"@version"=>"1",

"@timestamp"=>"2015-07-14T22:

07:

28.284Z",

"host"=>""

}

（ 3 ）安装 Elasticsearch

下载 Elasticsearch 后，解压到对应的目录就完成 Elasticsearch 的安装。

#tar-zxfelasticsearch--C/usr/local/

启动 Elasticsearch

#/usr/local/elasticsearch-

如果使用远程连接的 Linux 的方式并想后台运行 elasticsearch 执行如下命令：

#nohup/usr/local/elasticsearch->nohup&

确认 elasticsearch 的 9200 端口已监听，说明 elasticsearch 已成功运行

#netstat-anp|grep:

9200tcp00:

:

:

9200:

:

:

*LISTEN3362/java

接下来我们在 logstash 安装目录下创建一个用于测试 logstash 使用 elasticsearch 作为 logstash 的后端的测试文件 logstash-es-simple.conf，该文件中定义了stdout和elasticsearch作为output，这样的“多重输出”即保证输出结果显示到屏幕上，同时也输出到elastisearch中。

#catlogstash-es-simple.confinput{stdin{}}

output{

elasticsearch{host=>"localhost"}

stdout{codec=>rubydebug}

}

执行如下命令

#/usr/local/logstash-agent-flogstash-es-simple.conf

……

Logstashstartupcompleted

hellologstash

{

"message"=>"hellologstash",

"@version"=>"1",

"@timestamp"=>"2015-07-15T18:

12:

00.450Z",

"host"=>""

}

我们可以使用 curl 命令发送请求来查看 ES 是否接收到了数据：

#curl'

返回结果

{

"took":

58,

"timed_out":

false,

"_shards":

{

"total":

5,

"successful":

5,

"failed":

0

},

"hits":

{

"total":

1,

"max_score":

1.0,

"hits":

[{

"_index":

"logstash-",

"_type":

"logs",

"_id":

"AU6TWiixxDXYhySMyTkP",

"_score":

1.0,

"_source":

{"message":

"hellologstash","@version":

"1","@timestamp":

"2015-07-15T20:

13:

55.199Z","host":

""}

}]

}

}

至此，你已经成功利用 Elasticsearch 和 Logstash 来收集日志数据了。

（ 4 ）安装 elasticsearch 插件

Elasticsearch-kopf 插件可以查询 Elasticsearch 中的数据，安装 elasticsearch-kopf ，只要在你安装 Elasticsearch 的目录中执行以下命令即可：

#cd/usr/local/elasticsearch-

#./plugin-installlmenezes/elasticsearch-kopf

安装完成后在 plugins 目录下可以看到 kopf

#lsplugins/

kopf

在浏览器访问 .188:

9200/_plugin/kopf 浏览保存在 Elasticsearch 中的数据，如下所示：

（ 5 ）安装 Kibana

下载 kibana 后，解压到对应的目录就完成 kibana 的安装

#tar-zxfkibana--C/usr/local/

启动 kibana

#/usr/local/kibana-

使用  ：

 5601 访问 Kibana ，登录后，首先，配置一个索引，默认， Kibana 的数据被指向 Elasticsearch ，使用默认的 logstash-* 的索引名称，并且是基于时间的，点击“ Create ”即可。

看到如下界面说明索引创建完成。

点击“ Discover ”，可以搜索和浏览 Elasticsearch 中的数据，默认搜索的是最近 15 分钟的数据。

可以自定义选择时间。

到此，说明你的 ELK 平台安装部署完成。

（ 6 ）配置 logstash 作为 Indexer

将 logstash 配置为索引器，并将 logstash 的日志数据存储到 Elasticsearch ，本范例主要是索引本地系统日志。

#cat/usr/local/logstash-

input{

file{

type=>"syslog"

path=>["/var/log/messages","/var/log/syslog"]

}

syslog{

type=>"syslog"

port=>"5544"

}

}

output{

stdout{codec=>rubydebug}

elasticsearch{host=>"localhost"}

}#/usr/local/logstash--flogstash-indexer.conf

使用 echo 命令模拟写入日志，命令执行后看到如下图的信息

#echo"`date`优衣库视频">>/var/log/messages

刷新 kibana ，发现最新的测试数据显示到浏览器中，如下图所示：

到此， ELK 平台部署和基本的测试已完成。